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Vragen van de leden Merkies en Gesthuizen (beiden SP) aan de ministers 
van Financiën, van Veiligheid en Justitie en van Economische Zaken over de 
opkomst van Apple en Google in het betalingsverkeer (ingezonden 22 januari 
2015). 

Antwoord van Minister Dijsselbloem (Financiën) mede namens de 
Staatssecretaris van Veiligheid en Justitie en de Minister van Economische 
Zaken (ontvangen 19 februari 2015). 

Vraag 1 

Fleeft u kennisgenomen van de artikelen «Banken vrezen opkomst Apple» en 
«Pas op, de Amerikanen komen eraan»? 1 

Antwoord 1 
Ja. 

Vraag 2 en 3 

Bent u het met de banken eens dat er een ongelijk speelveld dreigt te 
ontstaan in het betalingsverkeer, gezien het feit dat banken en verzekeraars 
wel en IT-bedrijven niet onder de gedragscode verwerking persoonsgegeven 
financiële instellingen vallen? Wilt u uw antwoord toelichten? 

Klopt het dat IT-bedrijven, nadat zij zich laten registreren als betaalinstelling, 
met betrekking tot de verwerking van persoonsgegevens aan andere 
regelgeving moeten voldoen dan banken en verzekeraars? Kunt u uitleggen in 
hoeverre deze regelgeving afwijkt? 

Antwoord 2 en 3 

Alle genoemde partijen, dus zowel financiële instellingen als andere 
bedrijven, moeten voldoen aan dezelfde privacywetgeving. De EU-richtlijn 
bescherming persoonsgegevens en de Wet bescherming persoonsgegevens 
(Wbp) gelden in volle omvang. De Gedragscode verwerking persoonsgege¬ 
vens financiële instellingen is geen overheidsregelgeving, maar een vrijwillig 
overeengekomen nadere invulling van de regels waaraan de partijen die tot 
deze gedragscode zijn toegetreden zich vrijwillig houden. De Gedragscode is 
geen van de Wbp afwijkende regelgeving, maar een nadere invulling. Zo 
beschrijft bijvoorbeeld § 5.4 van de Gedragscode in welke specifieke gevallen 
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financiële instellingen persoonsgegevens mogen gebruiken voor directmarke- 
tingactiviteiten. Instellingen of bedrijven die geen partij zijn bij de Gedrags¬ 
code zullen hun beleid terzake rechtstreeks op grond van de Wbp moeten 
vaststellen. 

Vraag 4 

Deelt u de mening dat enkel en alleen de klant moet kunnen beslissen wat er 
met zijn data gebeurt, en dat banken enerzijds en IT-bedrijven als Google en 
Apple anderzijds, de informatie die zij verkrijgen alleen mogen gebruiken 
waarvoor deze is bedoeld, zoals beschreven in de Wet bescherming 
persoonsgegevens (Wbp) en de Gedragscode verwerking persoonsgegevens 
financiële instellingen? 

Antwoord 4 

De Wbp biedt het kader waarbinnen persoonsgegevens mogen worden 
verwerkt, het is niet zo dat uitsluitend persoonsgegevens met toestemming 
vna de betrokkene mogen worden verwerkt. Gebruik van persoonsgegevens 
is wel altijd toegestaan als er instemming is van de betrokkene. De Wbp biedt 
ook andere mogelijkheden om persoonsgegevens te verwerken. Cliënten en 
hun betaaldienstverleners kunnen afspraken over het gebruik van klantgege¬ 
vens ook vastleggen in een overeenkomst. De Gedragscode verwerking 
persoonsgegevens financiële instellingen geeft daarnaast een nadere 
invulling aan de Wbp voor die instellingen die, op vrijwillige basis, bij de 
Gedragscode zijn aangesloten. Instellingen of bedrijven die geen partij zijn bij 
de Gedragscode stellen hun beleid rechtstreeks op grond van de Wbp vast. 

Vraag 5 en 6 

Bent u voornemens dit ongelijke speelveld weg te nemen? Kunt u uw 
antwoord toelichten? 

In hoeverre zou de nieuwe Europese betaalrichtlijn, PSD2, dit ongelijke 
speelveld wegnemen? 

Antwoord 5 en 6 

Zoals hiervoor aangegeven moeten alle partijen voldoen aan dezelfde 
privacywetgeving. 

In de richtlijn betaaldiensten 2, die momenteel nog in onderhandeling is, 
wordt waarschijnlijk een registratie-eis opgenomen voor organisaties die 
betaaldata van klanten opvragen met toestemming van die klanten. Deze 
organisaties staan onder toezicht en moeten net als anderen voldoen aan de 
privacyregelgeving. 

Vraag 7 

Wat is uw opvatting over het feit dat betaaldata in de privacyrichtlijn geen 
verhoogde bescherming genieten? Bent u bereid u ervoor in te zetten dat ook 
betaaldata een verhoogde bescherming genieten? Zo nee, waarom niet? 

Antwoord 7 

Het is inderdaad zo dat persoonsgegevens met betrekking tot betalingen in 
de EU-privacyrichtlijn niet als bijzondere persoonsgegevens zijn aangemerkt. 
Bijzondere persoonsgegevens, zoals bijvoorbeeld politieke overtuiging of 
religie of etnische achtergrond, hebben een ander regime gekregen om 
bescherming te bieden tegen ongelijkheid en discriminatie. Dit soort 
bijzondere persoonsgegevens mogen slechts worden verwerkt indien de 
Europese privacyregelgeving daarvoor een uitdrukkelijke grondslag biedt. 
Betaalgegevens worden niet beschouwd als bijzondere persoonsgegevens. 

Dat wil niet zeggen dat onrechtmatige verwerking van betaalgegevens geen 
vervelende consequenties zou kunnen hebben. Mede om deze reden wordt in 
de nieuwe Privacyverordening, die momenteel nog in onderhandeling is, een 
risico-georiënteerde benadering opgenomen voor de verwerking van 
persoonsgegevens. Uit deze risicobeoordeling kan volgen dat zwaardere 
verplichtingen worden opgelegd bij de verwerking. Eén van de risicofactoren 
is de kans op het ontstaan van financieel nadeel bij de betrokkene wanneer 
zijn persoonsgegevens onrechtmatig worden verwerkt. De zwaardere 
verplichtingen voor verantwoordelijken die dan kunnen worden opgelegd 
kunnen bijvoorbeeld bestaan uit een documentatieplicht, de verplichting om 
privacy impact assessments op te stellen of de verplichting om voorafgaand 
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aan het starten van de gegevensverwerking overleg te voeren met de 
toezichthouder. Nederland heeft zich voor het toepassen van deze risico- 
georiënteerde benadering bijzonder ingespannen. 
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